Ducktail Infostealer ve DarkGate RAT'ın Aynı Tehdit Aktörleriyle Bağlantısı Var - Dünyadan Güncel Teknoloji Haberleri

Ducktail Infostealer ve DarkGate RAT'ın Aynı Tehdit Aktörleriyle Bağlantısı Var - Dünyadan Güncel Teknoloji Haberleri

DarkGate’in Ördek Kuyruğu ile Bağları

DarkGate, bilgi çalmak, kripto korsanlığı yapmak ve kötü amaçlı yazılım dağıtmak için Skype, Teams ve Mesajlar’ı kullanmak da dahil olmak üzere çok çeşitli kötü amaçlı faaliyetler gerçekleştirebilen bir arka kapı kötü amaçlı yazılımıdır ”



siber-1

Savunmada Paradigma Değişimi

Günther, modern, sürekli gelişen siber tehdit ortamını daha iyi anlamak için savunma stratejilerinde paradigma değişikliğinin gecikmiş olduğunu söylüyor

“Bu her zaman bir İsviçre çakısı, çok işlevli bir kötü amaçlı yazılım olmuştur” diyor

Günther, “Ağ yapılandırmalarını ve sızma testlerini kapsayan düzenli denetimler, güvenlik açıklarını önceden ortaya çıkarabilir” diye ekliyor ” Günther, Critical Start’ta siber tehdit araştırmasının kıdemli yöneticisi

MaaS Siber Tehdit Ortamını Etkiliyor

Bui, DarkGate’in bir hizmet olarak kullanılabilirliğinin siber güvenlik ortamı üzerinde önemli etkileri olduğuna dikkat çekiyor

Menlo Security’nin siber güvenlik uzmanı Ngoc Bui, aynı tehdit aktörleriyle bağlantılı farklı kötü amaçlı yazılım aileleri arasındaki ilişkileri anlamanın çok önemli olduğunu söylüyor “Bununla birlikte, o zamandan bu yana yazar tarafından defalarca güncellendi ve değiştirildi; bunun, bu kötü amaçlı işlevlerin uygulanmasını iyileştirmek ve AV/Kötü Amaçlı Yazılım algılama silahlanma yarışına ayak uydurmak olduğunu varsayabiliriz Kurbanları kötü amaçlı yazılımı çalıştırmaya ikna etmek için yem görevi gören yem dosyaları, bir saldırganın çalışma şekli, potansiyel hedefleri ve gelişen teknikleri hakkında paha biçilmez bilgiler sunar

Kötü amaçlı yazılım, virüslü cihazlardan kullanıcı adları, şifreler, kredi kartı numaraları ve diğer hassas bilgiler dahil olmak üzere çeşitli verileri çalabilir ve kullanıcının bilgisi veya izni olmadan virüslü cihazlarda kripto para madenciliği yapmak için kullanılabilir

Bui, “Bu aynı zamanda analistlerin, fidye yazılımı kampanyaları ve çabalarında gördüğümüz gibi birden fazla tehdit grubunun birlikte çalışıp çalışmadığını belirlemesine de yardımcı olabilir” diye ekliyor

Ducktail’in 2022’deki etkinliğini tespit eden WithSecure araştırmacıları, İngiltere, ABD ve Hindistan’daki kuruluşlara yönelik çok sayıda enfeksiyon girişimini tespit ettikten sonra DarkGate ile ilgili araştırmalarına başladı

Ayrıca aynı cihazda birden fazla kötü amaçlı LNK dosyası oluşturdular ve meta verileri silmediler, böylece daha fazla etkinliğin kümelenmesine olanak sağladılar

Ayrıca, tehdit istihbaratını bir havuzda toplamak ve sektör genelinde ortaya çıkan tehditler ve taktikler hakkında iletişimi teşvik etmek, erken tespit ve hafifletmeyi kolaylaştırabilir



Siber güvenlik araştırmacıları, kötü şöhretli DarkGate uzaktan erişim truva atı (RAT) ile Ducktail bilgi hırsızlığının arkasındaki Vietnam merkezli finansal siber suç operasyonu arasında bir bağlantı olduğunu ortaya çıkardı

Benzer şekilde, “LNK Drive ID” gibi bilgiler veya Canva gibi hizmetlerden alınan ayrıntılar gibi meta veriler, farklı saldırılar veya belirli aktörler karşısında kalıcı olabilecek fark edilebilir izler veya modeller bırakabilir “Ayrıca, çağdaş tehditleri ve kimlik avı vektörlerini tanıma konusunda eğitilmiş, iyi bilgilendirilmiş bir iş gücü, bir kuruluşun ilk savunma hattı haline gelerek risk oranını önemli ölçüde azaltır

Oluşturulan her dosyaya kendi meta verilerini ekleyen çevrimiçi bir hizmeti kullanarak PDF yem dosyaları oluşturdular; bu meta veriler farklı kampanyalar arasında daha güçlü bağlantılar sağladı “Sonuç olarak, daha fazla kişi veya grup DarkGate gibi karmaşık kötü amaçlı yazılımlara erişip bunları dağıtabilir, bu da genel tehdit düzeyini artırır

Ayrıca, kötü amaçlı yazılımı kullanan tehdit aktörünün takibini biraz daha zorlaştırabilir çünkü kötü amaçlı yazılımın kendisi, kötü amaçlı yazılımı kullanan tehdit aktörüne değil, geliştiriciye geri dönebilir

Virüs bulaşmış cihazlara fidye yazılımı dağıtmak, kullanıcının dosyalarını şifrelemek ve şifreyi çözmek için fidye ödemesi talep etmek için kullanılabilir

Bui, “Daha kapsamlı bir tehdit profili oluşturmaya ve bu tehdit aktörlerinin taktiklerini ve motivasyonlarını belirlemeye yardımcı oluyor” diyor

Robinson, “Raporun odaklandığı belirli Vietnam kümesi, birden fazla kötü amaçlı yazılım türü kullanan birden fazla kampanya için aynı hedeflemeyi, dosya adlarını ve hatta yem dosyalarını kullandı” diyor

Bui, “Teknik uzmanlığa sahip olmayan, hevesli siber suçluların giriş engelini azaltıyor” diye açıklıyor

Örneğin, araştırmacılar DarkGate, Ducktail, Lobshot ve Redline Stealer arasında bağlantılar bulurlarsa, tek bir aktörün veya grubun birden fazla kampanyaya dahil olduğu sonucuna varabilirler, bu da yüksek düzeyde karmaşıklık anlamına gelir

“Cazibe belgelerinin ve hedeflemenin son Ördek Kuyruğu bilgi hırsızlığı kampanyalarına çok benzediği hızla ortaya çıktı ve DarkGate kampanyasındaki açık kaynak veriler üzerinden büyük olasılıkla aynı aktör/grup tarafından kullanılan birden fazla diğer bilgi hırsızlığına geçiş yapmak mümkün oldu ,” dedi raporda ”

DarkGate kampanyalarının (ve bunların arkasındaki aktörlerin), kimi hedeflediklerine, kullandıkları yemlere ve enfeksiyon vektörlerine ve hedef üzerindeki eylemlerine göre farklılaşabileceğini belirtiyor

Callie şöyle açıklıyor: “Cazibe dosyaları ve meta veriler gibi teknik olmayan göstergeler son derece etkili adli ipuçlarıdır rapor ”

Bui, hizmet olarak kötü amaçlı yazılım (MaaS) tekliflerinin siber suçlulara saldırı gerçekleştirmek için uygun ve uygun maliyetli bir araç sağladığını ekliyor

WithSecure kıdemli tehdit istihbaratı analisti Stephen Robinson, DarkGate kötü amaçlı yazılım işlevselliğinin 2018’deki ilk raporlamadan bu yana yüksek düzeyde değişmediğini açıklıyor

“Bu tutarlı modeller, analiz edildiğinde çeşitli kampanyalar arasındaki boşluğu kapatabilir ve kötü amaçlı yazılımın teknik ayak izi farklı olsa bile araştırmacıların bunları ortak bir faile atfetmelerine olanak tanır” diyor

DarkGate ve Ducktail arasındaki korelasyon, yem dosyaları, hedefleme modelleri ve dağıtım yöntemleri gibi teknik olmayan işaretleyicilerin 15 sayfalık bir belgede derlenmesiyle belirlendi

“Yapay zeka ve makine öğreniminden yararlanmanın yanı sıra davranış temelli algılama dizilerini benimsemek, imza tabanlı yöntemlerin önceki sınırlamalarını aşarak anormal ağ davranışlarının tanımlanmasına olanak tanıyor” diyor

Bir siber güvenlik analisti için bu durum bir zorluk teşkil ediyor çünkü sürekli olarak yeni tehditlere uyum sağlamaları ve birden fazla tehdit aktörünün aynı kötü amaçlı yazılım hizmetini kullanma olasılığını dikkate almaları gerekiyor